Hypercell ein ] Hypercell aus ] Zeige Navigation ] Verstecke Navigation ]
c++.de  
   
Forentreff 2012   Startseite ] [ Links ] [ FAQs ] [ Humor ] [ Compiler ] [ Bücher ] [ Magazin ] [ Tutorials ] [ Videos ] [ Impressum & AGB ] [ Twitter Twitter ] [ Facebook Facebook ] [ Kontakt ]
Anleitung ] [ Suchen ] [ Profil ] [ Eigene Beiträge ] [ Registrieren ]
Login ]
   
Bücher-Shop mit Amazon (Buchkategorien)C++ : Referenzen zu C++ : C++ Builder : Visual C++ : C# : Java : Spieleprogrammierung : Systemprogrammierung Linux : Software-Entwicklung : .NET : Compilertechnik : Algorithmen & Datenstrukturen : Objektorientierung : Entwurfsmuster : UML : eXtreme Programming : Scrum : Projektmanagement : Software-Testing : Datenbanken : Tom DeMarco : Dilbert : User Friendly
C/C++ Forum :: WinAPI ::  EXE base immer 0x400000 ?  
Gehen Sie zu Seite Zurück  1, 2, 3  Weiter   Zeige alle Beiträge auf einer Seite 		Auf Beitrag antworten
Autor Nachricht
konkret1
Unregistrierter
Beitrag konkret1 Unregistrierter 21:10:45 03.02.2012   Titel:              Zitieren
KN4CK3R, Toolhelpshot geht ja nicht, weil CREATE_SUSPENDED und noch nicht resumed. Die CreateToolhelp... Funktion gibt 0 zurück.

Bassmaster, Gast13377777 ihr meint also die Info aus dem .exe header auslesen. Der ist doch statisch und dort steht soweit ich weiß nur die gewünschte bzw. voraussichtliche Basisadresse, der Loader könnte es noch versetzen.

konkret2, ich weiß nichts damit anzufangen...


Ah alles klar, das erklärts...
http://msdn.microsoft.com/en-us/library/w368ysh2.aspx
Ist default für .exen. Wird also wohl so sein bei dieser, die hat nämlich keine reloc. table.
Also kann ich mich bei dieser .exe wohl darauf verlassen.
ep
Unregistrierter
Beitrag ep Unregistrierter 21:37:57 03.02.2012   Titel:              Zitieren
Wieso patchst du nicht einfach das .exe file?
konkret1
Unregistrierter
Beitrag konkret1 Unregistrierter 01:04:59 04.02.2012   Titel:              Zitieren
Weils eine Option sein soll.
-lowbyte-
Mitglied

Benutzerprofil
Anmeldungsdatum: 12.10.2010
Beiträge: 233
Beitrag -lowbyte- Mitglied 04:07:37 04.02.2012   Titel:              Zitieren
Mann kann die BaseAddress mit GetModulHandle() bekommen.

C/C++ Code:
1
2
3
4
5
6
7
8
9
10
11
1
2
3
4
5
6
7
8
9
10
11
#include <windows.h>

int main()
{

    HMODULE hm;

    hm = GetModuleHandle(NULL);

    return 0;
}
C/C++ Code:
1
2
3
4
5
6
7
8
9
10
11
#include <windows.h>

int main()
{

HMODULE hm;

hm = GetModuleHandle(NULL);

return 0;
}
C/C++ Code:
1
2
3
4
5
6
7
8
9
10
11
#include <windows.h>

int main()
{

    HMODULE hm;

    hm = GetModuleHandle(NULL);

    return 0;
}


http://msdn.microsoft.com/en-us/library/windows/desktop/ms683199%28v=vs.85%29.aspx

_________________
XOR-BASE http://vpn23.homelinux.org
News: BaseX Encoding Library C/C++
C0de4Fun
Mitglied

Benutzerprofil
Anmeldungsdatum: 06.03.2009
Beiträge: 182
Beitrag C0de4Fun Mitglied 08:52:06 04.02.2012   Titel:              Zitieren
Desweitern zeigt doch der EIP des erzeugten Threads auf den Entrypoint wenn man nen Prozess mit diesem Flag started oder ned`?
Thereaver
Unregistrierter
Beitrag Thereaver Unregistrierter 12:03:51 04.02.2012   Titel:              Zitieren
ASLR ist bei jedem Systemstart für jeden Prozess gleich.
Hol dir die ImageBase von deinem Prozess, dann hast du auch die des anderen.
konkret1
Unregistrierter
Beitrag konkret1 Unregistrierter 19:06:56 04.02.2012   Titel:              Zitieren
-lowbyte-, aber ich will doch nicht die Base von meinem Prozess, sondern von einem anderen, der noch im SUSPENDED-State ist...

C0de4Fun, aber was tun mit dem Entrypoint?

Thereaver, das scheint so nicht zu stimmen. Dieses eine Programm ist scheinbar immer an 0x00400000, während ich bei anderen Programmen komplett zufällige .exe-Basen entdeckte (Win7 64bit).

Ist ASLR ohne reloc. Table der .exe überhaupt möglich?
distorm
Unregistrierter
Beitrag distorm Unregistrierter 21:50:33 04.02.2012   Titel:              Zitieren
konkret1 schrieb:
Ist ASLR ohne reloc. Table der .exe überhaupt möglich?

ist es nicht.
Thereaver
Unregistrierter
Beitrag Thereaver Unregistrierter 12:21:37 05.02.2012   Titel:              Zitieren
sorry ich habe wohl Müll erzählt, aber auf die kernel32 trifft es zu. Die ist in jedem Prozess trotz ASLR gleich.
Thereaver
Unregistrierter
Beitrag Thereaver Unregistrierter 12:32:43 05.02.2012   Titel:              Zitieren
die einzige Möglichkeit die ich persönlich noch sehe ist, dass du eine DLL in den suspended Prozess injectest und dir dadurch die base holst oder gleich patched.
C/C++ Forum :: WinAPI ::  EXE base immer 0x400000 ?  
Gehen Sie zu Seite Zurück  1, 2, 3  Weiter		 Auf Beitrag antworten

Zeige alle Beiträge auf einer Seite




Nächstes Thema anzeigen
Vorheriges Thema anzeigen
Sie können Beiträge in dieses Forum schreiben.
Sie können auf Beiträge in diesem Forum antworten.
Sie können Ihre Beiträge in diesem Forum nicht bearbeiten.
Sie können Ihre Beiträge in diesem Forum nicht löschen.
Sie können an Umfragen in diesem Forum nicht mitmachen.

Powered by phpBB © 2001, 2002 phpBB Group :: FI Theme

c++.de ist Teilnehmer des Partnerprogramms von Amazon Europe S.à.r.l. und Partner des Werbeprogramms, das zur Bereitstellung eines Mediums für Websites konzipiert wurde, mittels dessen durch die Platzierung von Werbeanzeigen und Links zu amazon.de Werbekostenerstattung verdient werden kann.

Die Vervielfältigung der auf den Seiten www.c-plusplus.de, www.c-plusplus.info, www.c-sar.de, www.c-plusplus.net und www.baeckmann.de enthaltenen Informationen ohne eine schriftliche Genehmigung des Seitenbetreibers ist untersagt (vgl. §4 Urheberrechtsgesetz). Die Nutzung und Änderung der vorgestellten Strukturen und Verfahren in privaten und kommerziellen Softwareanwendungen ist ausdrücklich erlaubt, soweit keine Rechte Dritter verletzt werden. Der Seitenbetreiber übernimmt keine Gewähr für die Funktion einzelner Beiträge oder Programmfragmente, insbesondere übernimmt er keine Haftung für eventuelle aus dem Gebrauch entstehenden Folgeschäden.